专家发现URLScan安全扫描程序意外泄露敏感URL和数据

安全研究人员警告说，“大量敏感信息”通过urlscan.io泄露，urlscan.com是一个网站扫描程序，用于检测可疑和恶意的URL。

Positive Security联合创始人费边Bräunlein在2022年11月2日发布的一份报告中说:“共享文档的敏感url、密码重置页面、团队邀请、支付发票等都是公开列出的，可以搜索”。

这家总部位于柏林的网络安全公司表示，在2022年2月GitHub向未知数量的用户发出通知后，该公司开始了一项调查，告知他们将自己的用户名和私有存储库名称（即GitHub Pages URL）共享到urlscan.io进行元数据分析，这是自动化过程的一部分。

Urlscan.io被描述为一个网络沙盒，它通过其API集成到多个安全解决方案中。

Bräunlein指出：“由于该API的集成类型（例如，通过一个安全工具扫描每个传入的电子邮件并对所有链接执行URL扫描）以及数据库中的数据量，匿名用户可以搜索和检索各种敏感数据”。

这包括密码重置链接、电子邮件取消订阅链接、帐户创建URL、API密钥、有关Telegram机器人的信息、DocuSign签名请求、共享的Google Drive链接、Dropbox文件传输、SharePoint、Discord和Zoom等服务的邀请链接、PayPal发票、Cisco Webex会议记录，甚至包跟踪的URL。

Bräunlein指出，2月份的初步搜索显示了属于苹果域名的“有趣的URL”，其中一些还包括公开共享的iCloud文件链接和日历邀请回复。此后，它们已被移除。

据称，苹果已要求将其域名排除在URL扫描之外，以便定期删除符合某些预定义规则的结果。

Positive Security进一步补充说，它联系了许多被泄露的电子邮件地址，收到了一个未具名组织的回复，该组织将DocuSign工作合同链接的泄露追溯到其正在与urlscan.io集成的安全编排、自动化和响应（SOAR）解决方案的错误配置。

除此之外，分析还发现，配置错误的安全工具正在将通过邮件收到的任何链接作为公共扫描提交到urlscan.io。

这可能会产生严重后果，其中恶意行为者可以触发受影响电子邮件地址的密码重置链接，并利用扫描结果捕获URL，并通过重置为攻击者选择的密码来接管帐户。

为了最大限度地提高此类攻击的有效性，对手可以搜索数据泄露通知网站，如“我被拒绝了吗”，以确定使用所述电子邮件地址注册的确切服务。

Urlscan.io在2022年7月Positive Security进行了负责任的披露后，敦促用户“了解不同的扫描可见性，审查您自己的非公开信息扫描，审查您的自动提交工作流，[并]为您的帐户实施最大扫描可见性”。

它还添加了删除规则，以定期清除与搜索模式匹配的删除过去和将来的扫描，并声明它有域和URL模式阻止列表，以防止扫描特定网站。

Bräunlein说：“垃圾邮件发送者可以利用这些信息收集电子邮件地址和其他个人信息”。“它可能被网络犯罪分子用来接管账户并进行可信的网络钓鱼活动”。